Disobey-video ja HackTheBox-yritys

Kurssin tehtävät löytyvät alkuperäisestä yhteydestään Tero Karvisen kotisivuilta.

h5.
a) Konfferenssi kotona. Katso jokin esitys pentest-aiheisesta konfferenssista ja kommentoi sen parhaita paloja. Esim. Disobey, RSA, BlackHat…
b) Metasploitable. Korkkaa jokin uusi palvelu Metasploitablesta (jokin muu kuin vsftpd). Voit käyttää Metasploitable 2 tai 3.
c) HackTheBox, korkkaa jokin kone. 

a)

Tarkoituksenani on jo aiemminkin ollut katsoa videoita Disobeystä, joten lähdin hakemaan Youtubesta siellä pidettyjä esityksiä ja päädyin valitsemaan seuraavan videon:

Olen hyvin kiinnostunut psykologiasta ja olen opiskellutkin sitä sekä muutamia kursseja avoimessa yliopistossa että itsenäisesti parin vuoden aikana kun pyrin opiskelemaan sitä Helsingin Yliopistoon. Eli mikäli asiat olisivat menneet toisin, olisinkin tällä hetkellä psykologian opiskelija, enkä tietotekniikan. Tämä video siis kiinnitti heti huomioni, ja puhujan alussa toteama kommentti ”it’s really hard to run software upgrades to your brain” vakuutti minut siitä, että olin tehnyt hyvän videovalinnan.

Sivuhuomiona on mainittava, että alussa jouduin hieman harhautumaan videon katsomisesta, sillä Disobey-videoissa käytettävä introkappale oli minulle äärimmäisen tuttu, enkä saanut heti päähäni, mikä se oli. Tiesin kyllä, että kyseinen kappale löytyisi joltakin omista soittolistoistani, ja pienen etsinnän jälkeen löysinkin sen. Kyseessä on siis Porter Robinsonin Spitfire.

Seuraavana muutamia videosta keräämiäni pointteja:

- kaikilla järjestelmillä on käyttäjiä, ja käyttäjät ovat manipuloitavissa
- käyttäjillä on monesti laajempi pääsy jaettuihin levyihin kuin mitä tarvitsisi
- järjestelmät muuttuvat paljonkin, ihmiset eivät juurikaan
- ihmiset eivät ajattele kriittisesti jos heillä on kiire
- central route to persuasion, tätä suostuttelutapaa voi käyttää esimjos yrittää myydä jotain oikeaa kohdetta
- peripheral route to persuasion, tätä käytetään kun yritetään myydä jotain, mitä ei ole olemassa, kiertää asian ydintä ja vetoaa muihin tekijöihin
- voidaan hyödyntää vahvoja tunteita, esim pelko
- ihmiset tottelevat auktoriteetteja
- scarcity (esim vain 2 tuntia aikaa saada tunnukset takaisin)
- liking and similarity (ihmiset ovat vastaanottavaisempia jos huijaava taho ottaa esiin samankaltaisuuksia ja on miellyttävä)
- social debt (jos saa palveluksen, antaa palveluksen vastapuolelle herkemmin)
- commitment (jos jotain lupaa, sen myös tekee vaikka ei haluaisi)
- social proof (keinotekoisia arvosteluja "oikealta" ihmiseltä)
- ihmiset vuodattavat omaa elämäänsä sosiaaliseen mediaan, ja tämä mahdollistaa tiedonkeruun esimerkiksi yrityksiin liittyen
- ihmisen huijaamiseen liittyviä tekniikoita ovat mm. phishing, subscription scam, advance fee fraud (esim. nigerian scam)
- ihmiset haluavat vain saada työnsä tehtyä ja ärsyyntyvät siitä, että heidän pitää käyttää tietokonetta
- varoitukset annetaan geneerisellä termeillä, joita perehtymättömät eivät ymmärrä (luota vain turvallisiin sivuihin, mikä on turvallinen?)
- ihmiset eivät pysähdy ajattelemaan huijausviestejä jos heille tulee emotionaalinen reaktio niihin
- ihmiset eivät tiedä domaineista niin, että he tietäisivät esim. mikä on top level domain
- ceo fraud, jos auktoriteetti pyytää henkilökohtaista palvelusta ja sanoo esim "tiedän, että sinuun voi luottaa" työntekijä saattaa helpommin tehdä mitä käsketään
- ihmiset innostuvat jos luulevat olevansa onnekkaita
- ensimmäinen nigeriatyyppinen huijaus 1700-luvulta!
- nigeriahuijaukseen valikoituvat automaattisesti sopivat kohteet

- financial scam, pieni alkuinvestointi, rikkaudet odottavat tulevaisuudessa! rahoja ei saa oikeasti ulos, uhrit ilmeisesti enimmäkseen miehiä

- romance scam, kohdistetaan yksinäisiin ihmisiin ja saadaan heidät tekemään asioita suhteen ja rakkauden toivossa, traaginen tarina yleensä mukana
- uhrit uskovat huijaavaan tahoon, koska luottamussuhde on muodostunut hitaasti ja tunteet ovat pelissä eivätkä ihmiset halua uskoa että heidän rakastamansa henkilö ei olisi olemassa
- uhrit yleensä keski-ikäisiä koulutettuja naisia, jotka ovat impulsiivisempisia, luotettavia, mutta eivät erityisen kilttejä. ovat myös helpommin addiktoituvia

suojautumisneuvoja ihmisille, jotka eivät ole tekniikkaorientoituneita:
- huijauksilta voi suojautua sillä, että ei luota omiin liskoaivoihinsa, esim mitä tulee esim. kiireeseen tai onnekkuuteen
- pitää olla skeptinen

"you should see the internet as the endless wasteland of crap that is actually is"

- ihmiset eivät välttämättä ilmoita huijauksista esim IT-osastolle, jos heidät saadaan tuntemaan olonsa tyhmäksi IT-velhojen toimesta
- esim jokin yksinkertainen raportointimenetelmä, joka ei vaadi juuri mitään, voi auttaa, ja ihmisille ei aiheudu mitään negatiivista seurausta

"... maybe we should, after all, train users like dogs"

Mielestäni videon tärkein pointti liittyi juuri siihen, että tavallisilla ihmisillä ei välttämättä ole tarvittavia taitoja huijausten tunnistamiseen, eikä heidän voi olettaa perehtyvän kyberturvallisuuteen, mikäli se ei heitä kiinnosta. IT-piireissä vallitsee monesti ilmapiiri, jossa naureskellaan ihmisille, joilla on heikot tietotekniikkataidot, ja olen toki itsekin syyllistynyt siihen myös. Mutta mikäli tavoitteena on, että normaalit käyttäjät tunnistaisivat huijauksia eivätkä menisi halpaan, kommentit kuten ”luota vain turvallisiin sivuihin” ovat aivan yhtä tyhjän kanssa.

Itse asiassa myös oma isäni on totaalisesti haksahtanut hyvin ilmeiseen huijaukseen, joka oli juuri tyyppiä ”voit ostaa iphonen yhdellä eurolla, nyt syötä korttisi tiedot tähän että voimme veloittaa euron tililtäsi”. Toki olin äärimmäisen turhautunut kun kuulin tästä, ja varmasti sain nuhtelullani isäni tuntemaan olonsa aika tyhmäksi, mutta hänen ajattelunsa oli edennyt juuri videolla kuvailluilla reiteillä. Isäni sanoi, että hän oli iloisesti yllättynyt omasta tuuristaan, ei tullut ajatelleeksi tilanteen epäilyttävyyttä ja mietti lähinnä, kenelle hän lahjoittaisi uuden iPhonensa, sillä hänellä itsellään on jo iPhone ennestään. Ja tällaisilta tilanteilta epäilemättä voitaisiin välttyä juuri skeptisen ajattelun tärkeyttä korostamalla.

Eli toisin sanoen, tietoteknisten taitojen puuttuessa kriittisen ajattelun taitojen tärkeys korostuu entisestään. Ja tietoteknisesti valveutuneiden ihmisten pitäisi ajatella erilaisia tilanteita tietotekniikkaa osaamattomien näkökulmasta, vaikka se vaikeaa onkin.

Psykologiasta kiinnostuneena olisin kyllä kaipaillut lisää videon aiheeseen liittyviä tutkimusesimerkkejä, mutta puhuja itsekin totesi ettei hän ollut psykologian ammattilainen, ja tieteellisistä tutkimuksista puhuminen olisi voinut olla yleisölle pitkästyttävämpää.

b) / c)

Lähden tässä vaiheessa vähän yhdistelemään b)- ja c) -kohtia ja yritän korkata jonkin palvelun HackTheBoxin koneesta. Aikaisemman tutkailuni perusteella arvelin, että 10.10.10.152 -ip:ssä toimiva kone olisi hyvin haavoittuva ja kävin vielä varmistamassa asian HackTheBoxin nettiliittymästä. Kyseinen kone oli käyttäjien toimesta arvioitu helpoksi, joten aion koittaa onneani sen kanssa. Annoin ensin komennon

db_nmap -sV -sC -A 10.10.10.152

, joka antoi minulle seuraavat tiedot:

En oikein tiennyt, mitä tällä tiedolla tekisin, joten päädyin katsomaan Youtubesta erään ilmeisesti eläköityneen HackTheBox-koneen murtautumiswalkthroughta. Videolla esiintyvässä koneessa on myös avoin ftp-portti, ja videon kuvaaja käyttää hyväksi anonyymiä kirjautumista, joka minunkin kohdekoneessa on enabloituna. Yritinkin kirjautua koneelle komennolla

ftp 10.10.10.152

, kuten videolla tehtiin, mutta sain viestin, että komentoa ei tunnisteta. Latasin siis ftp-paketin komennolla

apt-get install ftp

ja kokeilin tämän jälkeen kirjautumista uudestaan. Tämän jälkeen konsoliin tulostuikin

Connected to 10.10.10.152.
220 Microsoft FTP Service

Toisin kuin videolla, ftp ei kuitenkaan kysynyt minulta login-nimeä, enkä päässyt kunnolla sisään. Päädyin menemään pois msfconsolesta ja yrittämään ftp-kirjautumista uudestaan, ja tällä kertaa onnisti paremmin, vaikkakaan en tiedä, oli onnistumisella mitään tekemistä msfconsolen kanssa.

Ajatuksenani oli seuraavaksi alkaa tutkia, mitä palvelimelta löytyy, mutta tutkimusmatkalleni tulikin loppu samantien:

Toisella kerralla pääsin hieman pidemmälle, käytin tällä kertaa salasanaa root ihan vain yrityksen vuoksi. En tiedä oliko erilainen toiminta normaalin epävakauden syytä, vai oliko root-salasana oikea tunnistautuminen, kun kehotteessa sanottiin ”send identity (e-mail name) as password”.

Joka tapauksessa pääsin sisään ja aloin tutkia, mitä sisältöä koneesta löytyy:

Kävin siis katsomassa muutaman kansion sisältöä, mutta minulla ei ollut tarvittavia oikeuksia mennä oikeasti kiinnostaviin hakemistoihin. Ftproot-kansio kuulosti houkuttelevalta, mutta siellä ei vaikuttanut olevan mitään. Todennäköisesti minun tulisi tässä vaiheessa tehdä jonkinlainen priviledge escalation, mutta en ole varma miten se tapahtuisi.

Minusta tuntuu kaikista vaikeimmalta arvioida annetuista hakuvaihtoehdoista, että mitä exploittia pitäisi käyttää. Esimerkiksi vsftpd:n tapauksessa exploittaaminen oli suhteellisen suoraviivaista, sillä hakusanalla exploitteja löytyi tasan yksi ja se oli toimiva. En kuitenkaan mielestäni tiedä riittävästi, että voisin valikoida satojen hakutulosten joukosta exploitteja, sillä usein en ymmärrä exploittien kuvauksesta juuri mitään ja suurin osa exploiteista ei vaikuta liittyvän mihinkään, mitä haluaisin tehdä.

Esimerkiksi tässä olen hakenut hakusanalla Indy httpd 18.1.37.13946. Tiedän, että uudemmat hyökkäykset ovat parempia kuin vanhat, koska niiltä ei välttämättä ole vielä keritty suojautua. Rankista voi myös päätellä, kuinka varma hyökkäys yleensä on, eli toimiiko se, ja kuinka todennäköisesti se kaataa kohdekoneen. Missään hakutuloksessa ei kuitenkaan mainita mitään käyttämästäni hakutermistä, joten en tiedä, pitääkö tästä vetää se johtopäätös ettei kyseiseen palveluun ole olemassa exploittia, vai voivatko listatut exploitit toimia myös hakemassani palvelussa vaikkei sen nimeä mainitakaan erikseen.

Haeskelin exploitteja erilaisilla hakusanoilla niin että pyrin kuitenkin keskittymään helppoon 10.10.10.152-koneeseen. Ainoa palvelu, josta löysin hieman vähemmän hakutuloksia oli portissa 135 pyörivä msrpc.

Syötin asetuksiin siis ensin oikean host ip:n ja porttinumeron ja kokeilin exploittia. Mitään ei tapahtunut, ja ajattelin että ehkä minun pitäisi jotenkin ilmaista, että kohdekone on Windows NT, minkä FTP-palvelin minulle huomaavaisesti ilmoitti kirjautumiseni yhteydessä. Saman ip:n toisessa palvelussa puhuttiin kuitenkin Windows Server 2008:sasta, joten en tiedä, mihin tässä luottaisi.

Todennäköisesti HNAME ei kuitenkaan ollut oikea eikä Exploit target -kohdassa kohdekoneen nimi muuttunut mihinkään. Itse exploit ei myöskään edelleenkään toiminut, joten aion olettaa että ehkä exploittia ei ole tarkoitettu sille järjestelmälle, johon sitä yritän käyttää tai olen muuten käsittänyt jotakin väärin.

Aion jättää yrittämisen tältä illalta tähän. Pääsin kuitenkin kirjautumaan sisälle kohdekoneen ftp-palveluun, joka oli huomattavasti parempi suoritus, kuin mihin oletin pystyväni. Seuraavien askelten yrittämiseen tarvitsisin enemmän aikaa enkä välttämättä pitkällistenkään ponnistelujen jälkeen pääsisi puusta pitkään, joten taidankin vain suosiolla mennä nukkumaan. En koe tarpeelliseksi laittaa tätä päivitystä salasanan taakse, koska jäin niin kauas mistään varsinaisesta ratkaisusta että mielestäni kukaan kiinnostunut tuskin spoilaantuu millään tavalla vaikka tämän päivityksen lukisikin.

Tietoa kirjoittajasta

Noora Huttunen

Opiskelen ohjelmistotuotantoa Haaga-Helian tietojenkäsittelylinjalla.